Global Threat Landscape 2025 no ExtraHop: galvenās mācības

Pēdējā gada laikā kiberdrošības ainava ir piedzīvojusi strauju pārmaiņu. Virkne drošības incidentu ir pierādījuši, ka kiberuzbrukumu sekas var būt ne tikai izmaksas radītas, bet gandrīz paralizējošas visai ekonomikas nozarēm.

Viens no visbargākajiem piemēriem bija izspiedējprogrammatūras uzbrukums Change Healthcare, kas paralizēja ievērojamu daļu veselības aprūpes infrastruktūras Amerikas Savienotajās Valstīs. Kibernoziedznieki, izmantojot nozagtas akreditācijas, nozaga datus gandrīz 192,7 miljoniem cilvēku – tas ir lielākais medicīnisko datu noplūde vēsturē. Sekas tomēr nebija tikai datu zaudēšana: paralizētas maksājumu sistēmas, nedarbojošas aptiekas un bloķētas norēķinu sistēmas piespieda medicīnas iestādes darboties ārkārtas režīmā vairākas nedēļas.

Šis un līdzīgi incidenti ir skaidra brīdinājuma zīme: kiberdraudi ir sasnieguši sistēmiskā riska apmēru. Pasaulē, kurā gandrīz katrs pakalpojums ir atkarīgs no digitālās savienojamības, un infrastruktūra paļaujas uz mākoņiem un automatizāciju, viens veiksmīgs uzbrukums var izraisīt globāla domino efekta rezultātu.

Global Threat Landscape 2025 no ExtraHop: galvenās mācības - attēls 1

GALVENIE SECINĀJUMI

Saskaņā ar ziņojumu ExtraHop, uzbrukuma virsma pieaug ātrāk nekā organizāciju spēja to kontrolēt. Lielākie riski šodien koncentrējas ap:

publisko mākoni (53,8%),
piegādes ķēdi (43,7%),
ģeneratīvo AI izmantojošām lietotnēm (41,9%).

Global Threat Landscape 2025 no ExtraHop: galvenās mācības - attēls 2

Avots: ExtraHop 2025 Global Threat Landscape Report

Biežākie uzbrukumu vektori

Ziņojums ExtraHop atklāja, ka uzbrukuma scenārijs joprojām sākas pazīstamā veidā. Biežāko uzbrukumu vektoru sarakstā dominē:

pikšķerēšana un sociālā inženierija – atbildīga par 33,7% incidentu,
programmatūras ievainojamības – 19,4% incidentu,
piegādes ķēdes kompromitēšana – 13,4% incidentu,
nozagto akreditāciju izmantošana – 12,2% incidentu.

Global Threat Landscape 2025 no ExtraHop: galvenās mācības - attēls 3

Avots: ExtraHop 2025 Global Threat Landscape Report

Nav trūkumu uzbrukumu avotu zināšanā – problēma joprojām ir reakcijas ātrums. Vidēji paiet apmēram divas nedēļas, pirms organizācija vispār atklāj uzbrucēja klātbūtni, un vēl divas nedēļas, pirms tā pilnībā apgūst situāciju. Tas nozīmē, ka noziedzniekiem ir apmēram mēnesis brīvas rīcības upura tīklā – tas ir pietiekami ilgs laiks, lai mierīgi pārvietotos starp sistēmām, eskalētu pilnvaras un sagatavotu turpmākos uzbrukuma posmus. Tajā laikā uzņēmumi saskaras ar izmērāmiem izdevumiem – saskaņā ar ziņojuma datiem, vidējais dīkstāves laiks pēc drošības incidenta ir 37 stundas. Daudzām organizācijām tas nozīmē reālus finansiālus zaudējumus un klientu uzticības zaudējumu.

Izspiedējprogrammatūras uzbrukumi

Lai gan izspiedējprogrammatūras uzbrukumu biežums ir samazinājies – no apmēram astoņiem incidentiem uz organizāciju līdz 5–6 gadā – tas tomēr ir pieaugusi vidējā izpirkuma vērtība par vairāk nekā miljonu dolāru (no 2,5 miljoniem līdz 3,6 miljoniem USD).

Global Threat Landscape 2025 no ExtraHop: galvenās mācības - attēls 4

Avots: ExtraHop 2025 Global Threat Landscape Report

Šī atšķirība starp uzbrukumu skaita samazināšanos un izmaksu pieaugumu izriet no tehnisko paņēmienu evolūcijas, ko izmanto kibernoziedznieki, kuri arvien veiksmīgāk spēj palikt neatklāti upura vidē. Saskaņā ar ExtraHop datiem pretinieki iegūst vidēji gandrīz divu nedēļu piekļuvi organizācijas tīklam pirms faktiskā uzbrukuma veikšanas. Turklāt, gandrīz viena trešdaļa uzņēmumu atklāja izspiedējprogrammatūras incidentu tikai eksfiltrācijas datu sākšanas brīdī – tas ir, kad bija jau neizbēgami bojājumi.

EXTRAHOP IETEIKUMI

Izproti savu uzbrukuma virsmu

Augot IT vidi sarežģītībai, arī uzbrukuma virsma palielinās – tātad kibernoziedznieku potenciālie ieejas punkti. Atslēga ir pilnībā izprast, kas precīzi atrodas jūsu tīklā un kur var būt ievainojamības. Visaptverošs redzamība ļauj inventarizēt resursus un novērtēt riska līmeni, pēc tam paplašināt aizsardzību kopā ar vides attīstību – aptverot jaunos konteinerus, mākoņa pakalpojumus, galiekārtas un IoT.

Uzraugiet iekšējo trafiku

Mūsdienu uzbrukumi bieži vien apej tradicionālās EDR aizsardzības un, kad tiek iegūta piekļuve, pārvietojas laterāli (austrumu-rietumu virzienā), meklējot uzbrukuma mērķi. Nemainīga iekšējā trafika uzraudzība ļauj ātri atklāt aizdomīgas uzvedības un reaģēt, pirms uzbrukums eskalējas, efektīvi saīsina uzbrucēja klātbūtnes laiku un samazina iespējamos bojājumus.

Apsteidziet uzbrucējus ar analītiku un AI

Draudu ainava pastāvīgi mainās – šobrīd ir svarīgi ne tikai saprast, ko uzbrucēji dara tagad, bet arī prognozēt, ko viņi darīs rīt. Tas attiecas arī uz jaunajiem izaicinājumiem, kas rodas no ģeneratīvās mākslīgās inteliģences, ko izmanto, veidojot pārliecinošākas pikšķerēšanas kampaņas vai sarežģītu ļaunprātīgu programmatūru. Sadarbība ar risinājumu piegādātāju, kas piedāvā draudu izlūkošanu un uzlabotu analītiku, ļauj izveidot proaktīvu drošības stratēģiju, kas ne tikai reaģē uz draudiem, bet arī apsteidz un neutralizē nākotnes uzbrukumus.

SAZINIETIES AR MUMS

Ziņojumu ExtraHop var uzskatīt par praktisku darbību karti CISO un SOC komandām, norādot, kuras jomas nepieciešams stiprināt, lai saīsinātu atklāšanas un reakcijas laiku. Starp galvenajām prioritātēm ir:

pilnīga resursu inventarizācija un lietotņu atkarības,
iekšējās kustības monitorings anomāliju meklēšanai,
regulāri sānu kustības atklāšanas testi,
reakciju automatizēšana, izmantojot SOAR klases platformas,
piegādes ķēdes un servisa kontu uzraudzība,
autentifikācijas mehānismu pastiprināšana un aizsardzība pret MFA noguruma uzbrukumiem.

Šādu prakšu ieviešana ir daudz efektīvāka, ja tā balstās uz reāllaika redzamību un visa vides kontekstu – no mākoņa līdz lokālajai infrastruktūrai un OT. Kā oficiālais ExtraHop izplatītājs Polijā un Baltijas valstīs, mēs atbalstām organizācijas, veidojot šo platformas izturību, ieviešot ExtraHop RevealX – Network Detection and Response (NDR) klases risinājumu, kas ļauj: